アドバイザリの修正

初期評価が完了したら、評価で検出されたアドバイザリを修正できます。修正中、そのアドバイザリに含まれるすべてのパッケージが、選択したノードに適用されます。すべてのアドバイザリを一度に修正するか、必要に応じて特定のアドバイザリ、特定のミニオン、または一連のミニオンを修正できます。

SaltStack SecOps Vulnerability では、アドバイザリが以前のバージョンで修正されている場合でも、ベンダーから提供されている最新バージョンが常にインストールされます。

アドバイザリの修正後は、評価を再度実行し、正常に修正されたたことを確認する必要があります。

注： Windows ノード上のアドバイザリを修正する際は、追加の設定手順が必要になる場合があります。詳細については、 Windows アドバイザリの修正を参照してください。

すべてのアドバイザリの修正

[すべて修正] を実行すると、SaltStack SecOps Vulnerability によってポリシー内のすべてのミニオンですべてのアドバイザリが修正されるため、処理時間が長くなる場合があります。すべてのアドバイザリを一度に修正するか、必要に応じて特定のアドバイザリ、特定のミニオン、または一連のミニオンを修正できます。

注：より範囲の狭いターゲットを使用するか、選択した一部のアドバイザリやミニオンを一度に修正することで、処理時間を短縮できます。

ポリシー内のすべてのミニオンですべてのアドバイザリを修正するには、次の手順に従います。

[脆弱性] ワークスペースで、ポリシーをクリックします。
ポリシーをクリックすると、選択したポリシーのダッシュボードが開き、そこに最新の評価結果とアドバイザリも表示されます。
ポリシーダッシュボードの右上にある [すべて修正] をクリックします。
確認のダイアログで [すべて修正] をクリックします。
ポリシーの [アクティビティ] タブで、修正ステータスを追跡できます。

注：除外されたチェックやミニオンは、 [すべて修正] の実行時には修正されません。詳細については、除外の追加を参照してください。

アドバイザリ別の修正

特定のアドバイザリ別に修正を行うには、次の手順に従います。

[脆弱性] ワークスペースで、ポリシーをクリックします。
ポリシーをクリックすると、選択したポリシーのダッシュボードが開き、そこに最新の評価結果とアドバイザリも表示されます。
ポリシーダッシュボードで、修正するすべてのアドバイザリの横にあるチェックボックスをクリックします。
必要に応じてアドバイザリを列でフィルタリングできます。たとえば、重要度によってアドバイザリをフィルタリングして、修正するアドバイザリを選択できます。列ヘッダーにフィルタアイコンが含まれている場合は、その列タイプで結果をフィルタリングできます。アイコンをクリックし、メニューからフィルタオプションを選択するか、フィルタリングに使用するテキストを入力します。アクティブなフィルタを削除するには、[フィルタのクリア] をクリックします。
説明や CVE などのアドバイザリの詳細を確認するには、二重矢印アイコンをクリックして詳細ペインを開きます。
アドバイザリのスキャンを行う方法の詳細については、評価の実行を参照してください。
[修正] をクリックします。

ミニオン別の修正

特定のノードを修正するには、次の手順に従います。

[脆弱性] ワークスペースで、ポリシーをクリックします。
ポリシーをクリックすると、選択したポリシーのダッシュボードが開き、そこに最新の評価結果とアドバイザリも表示されます。
ポリシーダッシュボードで、[ミニオン] タブに移動し、ミニオンをクリックします。
アクティブなミニオンで修正するすべてのアドバイザリを選択します。

必要に応じてアドバイザリを列でフィルタリングできます。たとえば、重要度によってアドバイザリをフィルタリングして、修正するアドバイザリを選択できます。列ヘッダーにフィルタアイコンが含まれている場合は、その列タイプで結果をフィルタリングできます。アイコンをクリックし、メニューからフィルタオプションを選択するか、フィルタリングに使用するテキストを入力します。アクティブなフィルタを削除するには、[フィルタのクリア] をクリックします。
[修正] をクリックします。

アドバイザリ別とミニオン別、両方の修正

特定のミニオンまたは一連のミニオンで特定のアドバイザリを修正するには、次の手順に従います。

[脆弱性] ワークスペースで、ポリシーをクリックします。
ポリシーをクリックすると、選択したポリシーのダッシュボードが開き、そこに最新の評価結果とアドバイザリも表示されます。
ポリシーダッシュボードで、アドバイザリ ID をクリックします。
アドバイザリ ID をクリックすると、アドバイザリの詳細ページが開きます。このアドバイザリの影響を受けるミニオンのリストは、このページの下部に一覧表示されます。
アクティブなアドバイザリの修正を行うすべてのミニオンの横にあるチェックボックスをクリックします。
必要に応じてアドバイザリを列でフィルタリングできます。たとえば、重要度によってアドバイザリをフィルタリングして、修正するアドバイザリを選択できます。列ヘッダーにフィルタアイコンがある場合は、その列タイプで結果をフィルタリングできます。アイコンをクリックし、メニューからフィルタオプションを選択するか、フィルタリングに使用するテキストを入力します。アクティブなフィルタを削除するには、[フィルタのクリア] をクリックします。
[修正] をクリックします。

Windows アドバイザリの修正

SaltStack SecOps Vulnerability により、Windows ノードで Microsoft からの最新のアドバイザリの受信がトリガされます。Windows ノードは、以下の 2 つのうちいずれかの方法でこれらの更新を受信できます。

[Windows Update Agent (WUA)] - デフォルトでは、すべての Windows ノードに自動的にインストールされる WUA を使用して、Windows ノードが Microsoft に直接接続されます。WUA は、自動化されたパッチの配信とインストールに対応しています。ノードをスキャンして、インストールされていないセキュリティ更新を特定し、Microsoft の更新 Web サイトから更新を検索してダウンロードします。
[Windows Server Update Services (WSUS)] - WSUS サーバは、Microsoft とミニオンの間の仲介として機能します。WSUS サーバを利用すれば、IT 管理者が更新をネットワーク上に戦略的にデプロイして、ダウンタイムや中断を最小限に抑えることができます。詳細については、Microsoft の公式ドキュメントでWindows Server Update Services (WSUS)を参照してください。

Windows ノードで SaltStack SecOps Vulnerability を使用する前に、環境内で現在これら 2 つの方式のうちどちらを使用しているのかを確認します。環境内で WSUS サーバ方式を使用している場合は、以下のことを行う必要があります。

[WSUS が有効かつ実行されていることを確認する。]必要な場合は、SaltStack から提供されている Salt 状態ファイルを使用して WSUS に接続するように Windows ミニオンを構成できます。この状態ファイルについては、Windows Server Update Services (WSUS) の有効化を参照してください。この状態ファイルを実行した後、ミニオンが WSUS サーバに正常に接続され、更新を受信していることを確認します。
[WSUS サーバで Microsoft からのアドバイザリに関連する更新を承認する。] - WSUS サーバで Microsoft からの更新を受信したら、環境内に更新をデプロイするために、WSUS 管理者がそれらの更新を確認して承認する必要があります。SaltStack SecOps Vulnerability でアドバイザリを検出し、修正するには、アドバイザリが含まれる更新を承認する必要があります。

これら 2 つの前提条件を両方とも満たしていないと、SaltStack SecOps Vulnerability でアドバイザリを正確にスキャンおよび修正できません。WSUS サーバを介して Microsoft の更新を受信するシステムの場合、実際には安全でなくても、Windows ミニオンが安全であることを示す偽陽性の評価結果がすべての CVE から返されることがあります。

注： Windows ミニオンがかなり古い場合や、WSUS サーバが複数のミニオンに更新を送信する際、WSUS サーバがクラッシュすることがあります。ベストプラクティスを実施し、トラブルシューティングのサポートが必要な場合は WSUS 管理者に確認してください。詳細については、Microsoft の公式ドキュメントで Windows Server Update Services のベストプラクティスを参照してください。

WSUS サーバを構成した後、またはターゲットとするすべての Windows ミニオンで WUA が正常に機能していることを確認した後は、SaltStack SecOps Vulnerability を使用して Windows ノードを修正できます。他のアドバイザリやミニオンの修正と同じプロセスで、Windows ノードを修正できます。ただし、一部の Windows ノードの修正で、パッチや更新を有効にするためにシステム全体の再起動が必要になる場合があります。詳細については、修正に伴うミニオンの再起動を参照してください。

修正に伴うミニオンの再起動

修正では、パッチや更新を有効にするためにシステム全体の再起動が必要になる場合があります。場合によっては、修正で 2 回目の再起動が必要になることもあります。

修正に伴いアドバイザリやミニオンが再起動を要求するかどうかを判断するには、まず評価を実行します。再起動が必要かどうかを確認する方法は、特定のアドバイザリやミニオンの再起動の要否を確認するかどうかで異なります。


対象	参照
アドバイザリ	ポリシーダッシュボードの [アドバイザリ] タブで、アドバイザリのステータスの [インストール動作] 列を確認します。この列には、以下のステータスが表示されます。 [再起動を要求しない] - アドバイザリは修正時に再起動を要求しません。 [常に再起動を要求する] - アドバイザリは修正時に常に再起動を要求します。 [再起動を要求する場合あり] - アドバイザリは修正の一環として特定の条件下で再起動を要求する場合があります。 [(–)] - null 値。このステータスは、Linux ミニオンの場合に表示されます。再起動が必要かどうかの検出は、現在 Linux ミニオンではサポートされていません。
ミニオン	ポリシーダッシュボードの [ミニオン] タブで、ミニオンのステータスの [再起動が必要] 列を確認します。この列には、以下のステータスが表示されます。 [false] - 修正にミニオンの再起動が必要ないか、ミニオンが正常に再起動されています。 [true] - 以下の 3 つの状況下でステータスが true になります。ミニオンを再起動する必要があり、まだ再起動は開始されていない。ミニオンは現在再起動中で、まだ再起動は完了していない。ミニオンの再起動は完了したが、追加の変更を適用するには 2 回目の再起動が必要になる。

修正に伴い再起動が必要と判断した場合は、以下の手順に沿ってミニオンを再起動します。

ポリシーダッシュボードの [ミニオン] タブで、[再起動が必要] 列に true と表示されているミニオンの横にあるチェックボックスをクリックします。
[コマンドの実行] ボタンをクリックします。
[関数] メニューで、system.reboot コマンドを選択します。
[引数] フィールドに、必要な引数を追加します。
Windows ノードの場合、system.reboot コマンドには timeout と in_seconds の 2 つの引数が必要です。1 つ目の引数を 0、2 つ目の引数を true に設定します。これらの引数の詳細については、win_system.reboot モジュールのドキュメントを参照してください。
Linux ノードの場合、system.reboot コマンドは 1 つの引数 at_time を受け取ります。これらの引数の詳細については、system.reboot モジュールのドキュメントを参照してください。
（オプション）：特定の時間に再起動をスケジュール設定する場合は、ミニオンを再起動するジョブを作成し、そのジョブを、スケジュール設定された時間に実行されるように構成します。詳細については、SaltStack Config ジョブのワークフローを参照してください。
[コマンドの実行] をクリックし、選択したミニオンでこのコマンドを実行します。

再起動の開始後は、ミニオンの再起動が完了してオンラインに戻るまでに数分かかる場合があります。脆弱性ワークスペースの [アクティビティ] タブには、再起動コマンドが開始されたかどうかのみが表示されることに注意してください。ステータスの [完了] は、ミニオンの再起動が完了してオンラインに復帰したことを必ずしも意味しません。ターゲットのミニオンで処理が実行されたという意味です。

再起動後にミニオンがオンラインに戻っているかどうかを確認するには、脆弱性ワークスペースの [ミニオン] タブを更新し、ミニオンの存在を確認します。詳細については、ミニオンの存在を参照してください。

修正に伴いミニオンを再起動した後は、もう一度評価を実行して修正が成功したことを確認する必要があります。